Il fatto che i certificati EV siano "più sicuri" è sicuramente il messaggio che la CA qualificata per l'EV sta tentando di affermare - questo è il modo in cui giustificano che i certificati EV abbiano prezzi più alti. È discutibile se i certificati EV migliorino davvero la situazione della sicurezza. Vedi ad esempio questa critica di Peter Gutmann (citata nella pagina di Wikipedia ):
The introduction ... of so-called high-assurance or extended validation (EV) certificates that allow CAs to charge more for them than standard ones, is simply a case of rounding up twice the usual number of suspects - presumably somebody’s going to be impressed by it, but the effect on phishing is minimal since it’s not fixing any problem that the phishers are exploiting. Indeed, cynics would say that this was exactly the problem that certificates and CAs were supposed to solve in the first place, and that “high-assurance” certificates are just a way of charging a second time for an existing service. A few years ago certificates still cost several hundred dollars, but now that the shifting baseline of certificate prices and quality has moved to the point where you can get them for $9.95 (or even for nothing at all) the big commercial CAs have had to reinvent themselves by defining a new standard and convincing the market to go back to the prices paid in the good old days.
This deja-vu-all-over-again approach can be seen by examining Verisign’s certificate practice statement (CPS), the document that governs its certificate issuance. The security requirements in the EV-certificate 2008 CPS are (except for minor differences in the legalese used to express them) practically identical to the requirements for Class 3 certificates listed in Verisign’s version 1.0 CPS from 1996. EV certificates simply roll back the clock to the approach that had already failed the first time it was tried in 1996, resetting the shifting baseline and charging 1996 prices as a side-effect. There have even been proposals for a kind of sliding window approach to certificate value in which, as the inevitable race to the bottom cheapens the effective value of established classes of certificates, they’re regarded as less and less effective by the software that uses them...
La teoria è che i certificati EV vengono rilasciati solo dopo una verifica più approfondita dell'identità del richiedente, quindi i certificati EV dovrebbero essere più sicuri nel seguente senso: è più difficile ottenere uno falso. D'altra parte, sembra che gli attaccanti esistenti non si preoccupino davvero di ottenere comunque certificati SSL falsi, quindi l'aumento della sicurezza è, in effetti, teorico.
In pratica, la necessità di un certificato EV (al contrario di un certificato non EV) per il tuo server non deriva da un reale bisogno di sicurezza, ma da una reale necessità di una barra verde. Si tratta di convincere i clienti che spendere i loro soldi sul tuo sito è "sicuro".